Lo que vas a encontrar...
Los piratas informáticos usan el ransomware BlackByte para abusar de los servidores legítimos y eludir las capas de seguridad.
La cepa de ransomware BlackByte es utilizada por actores maliciosos para abusar de servidores legítimos a través de una técnica conocida como «Bring Your Own Driver».
BlackByte Ransomware utilizado para eludir las capas de seguridad
El ransomware BlackByte ha estado en uso desde 2021 y actúa como una organización de ransomware como servicio. Estos grupos ofrecen productos de ransomware a otros actores malintencionados a cambio de una tarifa. BlackByte ahora vuelve a ser el centro de atención después de haber sido utilizado en una táctica conocida como «Trae tu propio conductor». En este ataque, los ciberdelincuentes aprovechan una vulnerabilidad en el controlador de la utilidad de overclocking de gráficos RTCore64.sys de Windows conocida como CVE-2021-16098.
Un ataque Bring Your Own Driver consiste en instalar una versión vulnerable del controlador RTCore64.sys en el dispositivo de la víctima. El atacante puede abusar de este controlador defectuoso mientras permanece bajo el radar del software de seguridad.
La nueva amenaza fue descubierta por Sophos, una conocida empresa de ciberseguridad. En un artículo de Sophos News, se afirmó que la vulnerabilidad CVE-2021-16098 «permite a un usuario autenticado leer y escribir en una memoria arbitraria, lo que podría explotarse para la elevación de privilegios, la ejecución de código con privilegios elevados o la divulgación de información».
BlackByte ha deshabilitado más de 1,000 controladores
Los actores de amenazas han deshabilitado con éxito más de 1,000 controladores utilizados por los productos de detección y respuesta de punto final (EDR) de la industria. Como se señaló en la publicación de Security News antes mencionada, estos productos de seguridad dependen de estos controladores para brindar protección a su clientela.
Específicamente, estas compañías monitorean el uso de llamadas API de las que se abusa con frecuencia, una función que se interrumpe a través de estos ataques Bring Your Own Driver.
BlackByte ha causado problemas en el pasado
Esta no es la primera vez que se utiliza BlackByte en ciberataques. A principios de 2022, el FBI emitió una advertencia sobre una serie de ataques de ransomware BlackByte a través del abuso de los servidores de Microsoft Exchange. La serie de exploits tuvo lugar en diciembre de 2021, durante la cual los atacantes piratearon redes corporativas utilizando tres vulnerabilidades de ProxyShell para instalar shells web en servidores comprometidos.
Desde los ataques, se han desarrollado parches para las vulnerabilidades de ProxyShell, pero eso no parece haber impedido que los operadores de BlackByte continúen con sus ataques en otros lugares.
El ransomware sigue amenazando a particulares y empresas
El ransomware tiene la capacidad de causar grandes pérdidas, ya sea en datos o activos financieros. Este tipo de ataque cibernético ahora es tan popular que se puede comprar a través de proveedores de servicios ilícitos, lo que brinda a los actores aún más maliciosos la oportunidad de explotar a las víctimas. No está claro si los operadores de BlackByte seguirán causando problemas en el futuro, pero este ataque a Windows es otro ejemplo de las capacidades de los programas de ransomware.
